Một bài học đắt đỏ từ cuộc lừa đảo "nhiễm độc" địa chỉ: Khi meme chờ đợi, những sai lầm sơ sài có thể tốn hàng chục triệu USDT

Trong không khí phấn khích khi thị trường crypto lên cao, một sự cố an ninh ngày 20 tháng 12 đã nhắc nhở cộng đồng rằng chỉ cần một hành động vô tình là tài sản có thể bị chiếm đoạt hoàn toàn. Nhà giao dịch này đã trải qua nỗi tuyệt vọng khi mất gần 50 triệu USD USDT, không phải do lỗ giao dịch hay biến động thị trường, mà vì tin tưởng vào một địa chỉ giả mạo trong lịch sử giao dịch của chính mình.

Cách thức hoạt động của cuộc lừa bịp tinh vi

Câu chuyện bắt đầu từ một hành động bình thường: nạn nhân thực hiện giao dịch thử nghiệm 50 USDT để kiểm tra xem liệu rút tiền từ sàn giao dịch về ví cá nhân có hoạt động bình thường hay không. Tuy nhiên, kẻ tấn công đã phát hiện lập tức qua on-chain monitoring và thực hiện một chiến lược tinh vi.

Chúng tạo ra một địa chỉ ví “nhái” với bốn ký tự đầu và bốn ký tự cuối trùng khớp hoàn hảo với ví hợp pháp của nạn nhân. Vì hầu hết các ví tiền mã hóa hiện đại đều rút ngắn chuỗi ký tự dài thành dạng như “0xBAF4…F8B5”, nên khi nhìn vào lịch sử giao dịch, địa chỉ giả mạo hoàn toàn không thể phân biệt được.

Bước tiếp theo, kẻ tấn công gửi một lượng nhỏ tiền từ địa chỉ giả này tới nạn nhân, “nhiễm độc” lịch sử giao dịch của nạn nhân. Khi nạn nhân tiếp tục rút tiền còn lại với số lượng lớn hơn nhiều, thói quen phổ biến của con người đã phát huy tác dụng — người ta chỉ cần sao chép địa chỉ từ lịch sử giao dịch gần đây nhất thay vì kiểm tra kỹ lưỡng.

Hành động bóng tối sau vụ chiếm đoạt

Khi 49.999.950 USDT được chuyển, mọi chuyện đã kết thúc trong vòng 30 phút. Theo điều tra viên on-chain Specter, số tiền khổng lồ này được ngay lập tức chuyển đổi thành DAI (Dai - stablecoin), sau đó quy đổi thành khoảng 16.690 ETH (giá hiện tại khoảng $3.12K mỗi ETH), và cuối cùng được rửa tiền qua Tornado Cash — một mixerDAO tiếp tục là công cụ yêu thích của những kẻ gian lận.

Khi nhận ra mất 50 triệu USD, nạn nhân tuyệt vọng đã gửi thông điệp on-chain đề nghị phần thưởng white-hat trị giá 1 triệu USD nếu hoàn trả 98% số tiền. Tuy nhiên, tính đến ngày 21 tháng 12, những tài sản này vẫn chìm trong bóng tối của blockchain.

Tại sao meme chờ đợi lợi mãi, nhưng an ninh không

Điều đáng lo ngại là các trò lừa “nhiễm độc” này không yêu cầu công nghệ phức tạp. Chúng lợi dụng hai điểm yếu cơ bản:

1. Giao diện người dùng bị rút ngắn: Các blockchain browser và ví hiện đại đều hiển thị địa chỉ dưới dạng viết tắt để tiết kiệm không gian. Điều này tạo ra mảng xám lớn mà kẻ tấn công có thể khai thác. Chúng chỉ cần làm cho bốn ký tự đầu và cuối trùng khớp, phần giữa sẽ bị ẩn đi.

2. Thói quen sao chép-dán của con người: Mỗi người dùng crypto đều biết quy tắc “không bao giờ nhập thủ công địa chỉ”, vì vậy sao chép từ lịch sử giao dịch trở thành phương pháp mặc định. Kẻ tấn công hiểu rõ điều này.

Specter nhận xét: “Chỉ cần mất vài giây để sao chép địa chỉ từ tab ‘nhận’ chính thức thay vì từ lịch sử, mà Giáng sinh đã bị hủy hoại rồi.” Câu nói của nhân viên điều tra này không chỉ là sự thống cảm, mà còn là cảnh báo tệ hại cho toàn cộng đồng.

Những bài học phòng chống

Khi thị trường crypto đạt những mức cao mới, những trò lừa “nhiễm độc” như vậy ngày càng phổ biến. Để bảo vệ bản thân, các nhà giao dịch nên thực hiện:

Sử dụng danh sách trắng: Đưa các ví và địa chỉ đáng tin cậy vào danh sách trắng trong ứng dụng ví. Điều này tạo ra một lớp bảo vệ bổ sung để ngăn chặn các địa chỉ mới hoặc chưa xác minh.

Lấy địa chỉ từ tab “nhận”: Thay vì sao chép từ lịch sử giao dịch, luôn yêu cầu tab “nhận” của ví nhận để tạo ra một địa chỉ mới hoặc xác nhận lại địa chỉ hiện tại.

Sử dụng thiết bị xác thực vật lý: Các thiết bị như Ledger hoặc Trezor yêu cầu xác nhận toàn bộ địa chỉ trên màn hình của thiết bị, không phải trên máy tính. Đây là lớp kiểm tra thứ hai quan trọng.

Câu hỏi thường gặp

Vì sao giao dịch thử nghiệm 50 USDT lại trở thành mồi nhử cho kẻ tấn công?

Giao dịch thử nghiệm này để lại một bản ghi trên blockchain cho kẻ tấn công phát hiện. Chúng có thể thấy địa chỉ nhận và thực hiện on-chain monitoring để tạo ra một địa chỉ giả mạo tương tự.

Tại sao không thể truy vết tiền sau khi nó được rửa qua Tornado Cash?

Tornado Cash là một mixer tập trung vào việc che giấu nguồn gốc của tiền bằng cách pha trộn nhiều giao dịch lại với nhau. Một khi tiền được rửa qua nó, việc truy vết trên blockchain trở nên cực kỳ khó khăn hoặc gần như không thể.

Có cách nào khác để bảo vệ?

Ngoài các biện pháp trên, người dùng nên cập nhật ví và các ứng dụng thường xuyên, không sử dụng ví web công cộng, và luôn kiểm tra URL trước khi truy cập. Với những meme chờ đợi trong thị trường, sự cẩn thận không bao giờ là thừa.

Nạn nhân có thể lấy lại tiền không?

Rất khó. Một khi tiền được rửa qua Tornado Cash và không có đầu mối pháp lý cụ thể, việc thu hồi gần như là bất khả thi. Đây là lý do tại sao phòng chống lại quan trọng hơn điều trị.